Autenticazione utilizzando credenziali a lungo termine

avvertimento

Per evitare rischi per la sicurezza, non utilizzate IAM gli utenti per l'autenticazione quando sviluppate software appositamente creato o lavorate con dati reali. Utilizza invece la federazione con un provider di identità come AWS IAM Identity Center.

Se utilizzi un IAM utente per eseguire il codice, lo strumento SDK o nell'ambiente di sviluppo si autentica utilizzando credenziali IAM utente a lungo termine nel file condiviso AWS credentialsfile. Consulta le best practice di sicurezza in IAM argomento e passa a IAM Identity Center o ad altre credenziali temporanee il prima possibile.

Avvertenze e linee guida importanti per le credenziali

Avvertenze per le credenziali

• NOTUsa le credenziali root del tuo account per accedere AWS risorse. Queste credenziali forniscono un accesso illimitato all'account e sono difficili da revocare.

• NOTInserite chiavi di accesso letterali o informazioni sulle credenziali nei file dell'applicazione. In caso contrario, rischi di esporre accidentalmente le credenziali se, per esempio, carichi il progetto in repository pubblici.

• NOTIncludete i file che contengono credenziali nell'area del progetto.

• Tieni presente che tutte le credenziali sono archiviate nell'area condivisa AWS credentialsi file sono archiviati in testo semplice.

Linee guida aggiuntive per la gestione sicura delle credenziali

Per una discussione generale su come gestire in modo sicuro AWS credenziali, consulta Best practice per la gestione AWS chiavi di accesso in Riferimenti generali di AWS. Oltre a questa discussione, considera quanto segue:

• Usa IAMi ruoli per le attività relative alle attività di Amazon Elastic Container Service (AmazonECS).

• Usa IAMi ruoli per le applicazioni in esecuzione su EC2 istanze Amazon.

Prerequisiti: creare un AWS account

Utilizzare un IAM utente per accedere AWS servizi, hai bisogno di un AWS account e AWS credenziali.

1. Creazione di un account.

   Per creare un AWS account, vedi Guida introduttiva: sei un principiante AWS utente? nel AWS Account Management Guida di riferimento.

2. Creazione di un utente amministratore.

   Evita di utilizzare l'account utente root (l'account iniziale creato) per accedere alla console di gestione e ai servizi. Crea invece un account utente amministrativo, come spiegato in Creare un utente amministrativo nella Guida per l'IAMutente.

   Dopo aver creato l'account utente amministratore e registrato i dettagli di accesso, assicurati di disconnetterti dall'account utente root e di accedere nuovamente utilizzando l'account amministrativo.

Nessuno di questi account è adatto per lo sviluppo di AWS o per eseguire applicazioni su AWS. Come procedura ottimale, è necessario creare utenti, set di autorizzazioni o ruoli di servizio appropriati per queste attività. Per ulteriori informazioni, consulta Applica le autorizzazioni con privilegi minimi nella Guida per l'utente. IAM

Passaggio 1: crea il tuo utente IAM

• Crea il tuo IAM utente seguendo la procedura Creazione di IAM utenti (console) nella Guida per l'IAMutente. Quando crei il tuo IAM utente:

  • Ti consigliamo di selezionare Fornisci l'accesso utente a AWS Management Console. Questo ti permette di visualizzare Servizi AWS relativi al codice che si sta eseguendo in un ambiente visivo, ad esempio il controllo AWS CloudTrail registri di diagnostica o caricamento di file su Amazon Simple Storage Service, utili per il debug del codice.

  • Per le opzioni Imposta autorizzazioni - Autorizzazione, seleziona Allega direttamente le politiche in base al modo in cui desideri assegnare le autorizzazioni a questo utente.

    • La maggior parte dei SDK tutorial «Guida introduttiva» utilizza il servizio Amazon S3 come esempio. Per fornire alla tua applicazione l'accesso completo ad Amazon S3, seleziona la AmazonS3FullAccess policy da allegare a questo utente.

  • Puoi ignorare i passaggi facoltativi di tale procedura relativi all'impostazione dei limiti o dei tag di autorizzazione.

Passaggio 2: Ottieni le tue chiavi di accesso

1. Nel riquadro di navigazione della IAM console, seleziona Utenti, quindi seleziona User name l'utente che hai creato in precedenza.

2. Nella pagina dell'utente, seleziona la pagina Credenziali di sicurezza. Quindi, in Chiavi di accesso, seleziona Crea chiave di accesso.

3. Per la creazione della chiave di accesso (passaggio 1), scegli Command Line Interface (CLI) o Codice locale. Entrambe le opzioni generano lo stesso tipo di chiave da utilizzare con entrambe le AWS CLI e ilSDKs.

4. Per la creazione della chiave di accesso (Fase 2), inserisci un tag opzionale e seleziona Avanti.

5. Per il passaggio 3 della creazione della chiave di accesso, seleziona Scarica il file.csv per salvare un .csv file con la chiave di accesso e la chiave di accesso segreta IAM dell'utente. Queste informazioni ti serviranno per utilizzarle in un secondo momento.

   avvertimento

   Utilizza le misure di sicurezza appropriate per proteggere queste credenziali.

6. Seleziona Done (Fatto)

Passaggio 3: Aggiornare il file condiviso credentials

1. Crea o apri il file condiviso AWS credentialsfile. Questo file si trova ~/.aws/credentials su sistemi Linux e macOS e %USERPROFILE%\.aws\credentials su Windows. Per ulteriori informazioni, consulta Ubicazione dei file delle credenziali.

2. Aggiungi il testo seguente al credentials file condiviso. Sostituisci il valore ID di esempio e il valore della chiave di esempio con i valori del .csv file scaricato in precedenza.

   [default]
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

3. Salvare il file.

Il credentials file condiviso è il modo più comune per archiviare le credenziali. Queste possono anche essere impostate come variabili di ambiente, vedi AWS chiavi di accesso per i nomi delle variabili di ambiente. Questo è un modo per iniziare, ma ti consigliamo di passare a IAM Identity Center o ad altre credenziali temporanee il prima possibile. Dopo aver abbandonato l'utilizzo di credenziali a lungo termine, ricordati di eliminare queste credenziali dal file condiviso. credentials